Σύνοψη
- Η Microsoft έχει εντοπίσει μια νέα οργανωμένη εκστρατεία κυβερνοεπίθεσης που διαδίδει malware μέσω WhatsApp.
- Οι επιτιθέμενοι χρησιμοποιούν κακόβουλα αρχεία Visual Basic Script (VBS), που ενεργοποιούν μια αλυσίδα μόλυνσης στα Windows.
- Σύγχρονες υπηρεσίες cloud όπως AWS, Tencent Cloud και Backblaze B2 αξιοποιούνται για να διανέμουν τα επιβλαβή payloads.
- Η διαδικασία ολοκληρώνεται με την εγκατάσταση μη υπογεγραμμένων αρχείων MSI, δίνοντας πλήρη απομακρυσμένο έλεγχο στους επιτιθέμενους.
- Στην Ελλάδα, η αυξημένη χρήση του WhatsApp Web από επιχειρήσεις καθιστά τις τοπικές εταιρείες ιδιαίτερα ευάλωτες σε αυτές τις επιθέσεις.
Αυτή είναι η νέα εκστρατεία κυβερνοεπίθεσης μέσω WhatsApp
Ένα νέο κύμα κυβερνοεπιθέσεων έχει εμφανιστεί, στοχεύοντας τους χρήστες που χρησιμοποιούν το WhatsApp ως βασικό μέσο επικοινωνίας. Οι επιτιθέμενοι εκμεταλλεύονται την τάση να αποστέλλονται φαινομενικά αθώα αρχεία VBS που, όταν εκκινηθούν, ανοίγουν την πόρτα σε aλυσίδα κακόβουλης δραστηριότητας. Από τη στιγμή που το αρχείο ανοίγεται, δημιουργείται ένα σύνολο μολυσμένων φακέλων και διαδικασιών που δύσκολα ανιχνεύονται.
Η πλήρης αλυσίδα μόλυνσης: Από το μήνυμα στην παραβίαση
Η ερευνητική ομάδα της Microsoft εντόπισε και ανέλυσε την επίθεση, που ξεκίνησε στα τέλη Φεβρουαρίου 2026. Οι επιτιθέμενοι επιλέγουν να μην χρησιμοποιούν περίπλοκα exploits, αλλά αντίθετα βασίζονται σε τακτικές κοινωνικής μηχανικής. Στέλνουν μηνύματα μέσω WhatsApp με φαίνεται αθώα συνημμένα αρχεία. Όταν ο χρήστης τα ανοίξει, ξεκινάει σιωπηλά μια διαδικασία που οδηγεί σε πλήρη μόλυνση του συστήματος.
Ειδικότερα, το κακόβουλο VBS δημιουργεί κρυφούς φακέλους στη διαδρομή C:\ProgramData, μετέπειτα χρησιμοποιεί νόμιμα εργαλεία των Windows, αλλά τα μετονομάζει για να ξεγελούν τα προγράμματα προστασίας. Αυτό έχει ως αποτέλεσμα να ελαχιστοποιείται η πιθανότητα ανίχνευσης της δραστηριότητας από τα antivirus.
Διαδικασία μόλυνσης: Από το μήνυμα στο backdoor
Όταν ο χρήστης ανοίξει το VBS αρχείο μέσω WhatsApp Web ή της desktop εφαρμογής, δεν εμφανίζεται καμία προειδοποίηση. Μοναδική ένδειξη είναι μια στιγμιαία αύξηση στη χρήση του επεξεργαστή στο Task Manager. Οι χρήστες πιθανόν να μην αντιληφθούν καν την παραβίαση, καθώς δεν υπάρχει εμφανής διαταραχή στο σύστημα.
Παράκαμψη μέτρων ασφαλείας με νόμιμες υπηρεσίες Cloud
Στο δεύτερο στάδιο της επίθεσης, το μολυσμένο σύστημα κατεβάζει το βασικό payload από νόμιμες cloud υπηρεσίες όπως το Amazon Web Services (AWS), το Tencent Cloud και το Backblaze B2. Αυτές οι πλατφόρμες είναι συχνά σε whitelist των εταιρικών δικτύων, επιτρέποντας τη διανομή των κακόβουλων αρχείων χωρίς ειδοποιήσεις ασφαλείας.
Εγκατάσταση MSI Backdoors: Το τελευταίο χτύπημα
Η ολοκλήρωση της διαδικασίας γίνεται μέσω της εγκατάστασης έναρξης των MSI αρχείων. Αυτά τα αρχεία παρουσιάζονται ως γνωστά προγράμματα (π.χ. Setup.msi, WinRAR.msi) και δεν διαθέτουν ψηφιακή υπογραφή. Η μη επαλήθευση των υπογραφών πριν την εγκατάσταση, σε πολλές περιπτώσεις, επιτρέπει στο κακόβουλο λογισμικό να έχει αυτόματα πρόσβαση στο σύστημα και να εκτελεί επικίνδυνες ενέργειες.
Οι επιπτώσεις για τις ελληνικές επιχειρήσεις
Η Ελλάδα, με τις πολλές επιχειρήσεις που χρησιμοποιούν το WhatsApp για επικοινωνία, είναι ιδιαίτερα ευάλωτη σε αυτές τις επιθέσεις. Η γρήγορη αποδοχή αρχείων από φαινομενικά αξιόπιστους αποστολείς είναι καθημερινότητα και μπορεί να οδηγήσει σε σοβαρές παραβιάσεις δεδομένων. Πολλές μικρομεσαίες επιχειρήσεις δεν διαθέτουν εξελιγμένες λύσεις ασφαλείας, πράγμα που καθιστά την ανίχνευση αυτών των επιθέσεων ακόμα πιο δύσκολη.
Συμπεράσματα και συστάσεις
Η παρακολούθηση αυτής της επιθέσεως δείχνει μια ανησυχητική τάση στις τακτικές των κυβερνοεγκληματιών. Αυτή η στρατηγική εκμετάλλευσης της εμπιστοσύνης μέσω WhatsApp δείχνει αυξανόμενους κινδύνους για τις επιχειρήσεις και τους χρήστες. Ενθαρρύνουμε τους διαχειριστές IT στις ελληνικές επιχειρήσεις να εφαρμόσουν αυστηρά μέτρα για την αποφυγή της εκτέλεσης μη υπογεγραμμένων αρχείων MSI και να ενδυναμώσουν τις πολιτικές ασφαλείας τους για scripts VBS.
Διαβάστε περισσότερα για την ασφάλεια στο διαδίκτυο και πώς να προστατεύσετε την επιχείρησή σας από κυβερνοεπιθέσεις στον δημόσιο ιστότοπο της Εθνικής Αρχής Κυβερνοασφάλειας.
